Allgemein · Netzwerk

Thema BSI Grundschutz, aktive Netzwerkkomponenten und den möglichen Lösungen mit VMware

Ich habe mal einen Text mit den wichtigsten Punkten aus dem BSI Grundschutz und unseren VMware Produkten zusammengestellt und auch Links zu Dokumentationen zusammengestellt und eingefügt. 

In Summe kann man sagen, dass alle Funktionalitäten und Sicherheitsfunktionen traditioneller aktiver Netzwerkkomponenten auch mit unseren virtuellen Netzwerkfunktionen abgebildet werden können. Mehr noch, mit NSX ist es möglich eine Micro-Segmentierung vorzunehmen, die mit traditionellen aktiven Komponenten so nicht verwaltbar, bzw. auch finanziell kaum realisierbar wäre, abgesehen mal vom Aufwand der allein bei der Implementierung, und später im Betrieb bei Änderungen der Filterregeln betrieben werden müsste. Mit NSX ist es beispielsweise so, dass mit der Migration einer VM die Firewall-Policies mit wandern.

BSI Grundschutz

M 4.82 Sichere Konfiguration der aktiven Netzwerkkomponenten

(…)

Im Rahmen des Netzkonzeptes (siehe M 2.141 Entwicklung eines Netzkonzeptes ) sollte auch die sichere Konfiguration der aktiven Netzkomponenten festgelegt werden. Dabei gilt es insbesondere folgendes zu beachten:

  • Für Router und Layer-3-Switching muss ausgewählt werden, welche Protokolle weitergeleitet und welche nicht durchgelassen werden. Dies kann durch die Implementation geeigneter Filterregeln geschehen.
  • Es muss festgelegt werden, welche IT-Systeme in welcher Richtung über die Router kommunizieren. Auch dies kann durch Filterregeln realisiert werden.
  • Sofern dies von den aktiven Netzkomponenten unterstützt wird, sollte festgelegt werden, welche IT-Systeme Zugriff auf die Ports der Switches und Hubs des lokalen Netzes haben. Hierzu wird die MAC -Adresse des zugreifenden IT-Systems ausgewertet und auf ihre Berechtigung hin überprüft.

(…)

Prüffragen:

  • Wird die sichere Konfiguration der aktiven Netzkomponenten im Rahmen des Netzkonzeptes festgelegt?
  • Sind bei Routern und Layer-3-Switchen die erlaubten Protokolle und Verkehrsflüsse durch geeignete Filterregeln implementiert?
  • Unterstützen die aktiven Netzkomponenten „Port Security“ als Sicherheitsfunktion, um den Zugriff auf Ports der Netzkomponenten auf freigegebene MAC -Adressen der IT -Systeme zu beschränken?
  • Entsprechen die Schutzmechanismen der eingesetzten Routing-Protokolle ( z. B. im Rahmen des Routing-Updates) dem Stand der Technik?

M 5.153 Planung des Netzes für virtuelle Infrastrukturen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Virtualisierungsserver müssen allen virtuellen IT-Systemen den Zugriff auf von diesen benötigte Infrastrukturkomponenten wie Netze und Speichernetze, sowie auf Infrastrukturdienste wie DNS oder DHCP ermöglichen. Hierbei sind die folgenden Aspekte bei der Planung der Netzanbindung der Virtualisierungsserver zu beachten:

  • Netzanbindung der Virtualisierungsserver
  • Virtualisierungsserver benötigen in der Regel Zugriff auf Infrastrukturdienste wie DNS sowie auf Speichernetze. Weiterhin werden sie häufig über das Netz administriert und bestimmte Virtualisierungsfunktionen wie die Live Migration, also das Verschieben eines virtuellen IT-Systems im laufenden Betrieb von einem Virtualisierungsserver auf den anderen, nutzen ebenfalls Netzverbindungen zwischen den Virtualisierungsservern. Daher werden auf den Virtualisierungsservern selbst Netzschnittstellen für diese Zwecke benötigt. Da über diese Schnittstellen auch die virtuellen IT-Systeme, die auf dem Virtualisierungsserver betrieben werden, verwaltet werden können, sind diese Schnittstellen besonders zu schützen und in einem Verwaltungsnetz zu betreiben. Der Zugriff auf dieses Verwaltungsnetz stellt das virtuelle Pendant des Zugangs zum Rechenzentrum oder Serverraum dar und sollte genau wie der Zutritt zu Serverräumen restriktiv gehandhabt werden (siehe auch Maßnahme M 1.58 Technische und organisatorische Vorgaben für Serverräume ). Das Verwaltungsnetz sollte deshalb separat betrieben werden, um sicherzustellen, dass die Verwaltungsfunktionen der Virtualisierungsserver nur von den vorgesehenen Arbeitsstationen aus und nur für die berechtigten Administratoren erreichbar sind. Das Verwaltungsnetz sollte insbesondere von den Netzen der virtuellen IT-Systeme getrennt werden.
  • Es muss des Weiteren geprüft werden, ob für die Virtualisierungsfunktion Live Migration ein dediziertes Netz geschaffen werden soll. Da bei einer Live Migration die Hauptspeicherinhalte eines virtuellen IT-Systems möglicherweise unverschlüsselt über das Netz übertragen werden, kann eine solche Trennung je nach Schutzbedarf der virtuellen IT-Systeme notwendig sein.
  • Netzanbindung der virtuellen IT-Systeme
  • Für virtuelle IT-Systeme (virtuelle Server, Clients und gegebenenfalls virtuelle Switche) sind die Maßnahmen des BausteinsB 3.101 Allgemeiner Server und B 3.302 Router und Switches genauso umzusetzen wie für physische. Bezüglich der Netzanbindung virtueller IT-Systeme sind bei der Planung einige Besonderheiten zu beachten. Virtuelle IT-Systeme nutzen die physischen Netzschnittstellen der Virtualisierungsserver, um auf Netze zuzugreifen. Hierbei existiert in der Regel keine direkte, eindeutige Zuordnung von Schnittstellen zu virtuellen IT-Systemen. Dies bedeutet, dass sich bei einigen Virtualisierungsprodukten mehrere virtuelle IT-Systeme dieselbe physische Schnittstelle teilen können. Da bei einer Störung dieser Schnittstelle gleich mehrere virtuelle IT-Systeme vom Netz getrennt werden, wird empfohlen, dass die Verfügbarkeit dieser mehrfach genutzten Netzschnittstellen gesteigert wird (Kumulationsprinzip). Dies kann z. B. durch redundante Netzschnittstellen und Techniken wie IEEE 802.3ad (Link Aggregation Control Protocol – LACP) oder anderer Load Balancing-Verfahren geschehen. Hierbei ist besonders zu beachten, dass die Verwendung solcher Protokolle in der Regel eine angepasste Konfiguration auf dem physischen Switch erfordert, an den diese Schnittstellen angeschlossen sind. Falls möglich, sind die physischen Schnittstellen mit unterschiedlichen Switchen zu verbinden.

Trennung von Netzsegmenten

Virtualisierungsserver werden oft mit einer Vielzahl von Netzen verbunden. Einige Virtualisierungsprodukte verfügen über Funktionen, um mehrere VLANs über eine physische Schnittstelle (Port Trunking gemäß IEEE 802.1q) zu nutzen. Es ist zudem möglich, auch in der virtuellen Infrastruktur VLANs zur Netzsegmentierung zu verwenden. Genügen zur Segmentierung der NetzeVLANs, die lediglich eine logische Trennung darstellen, kann dies auch innerhalb der virtuellen Infrastruktur geschehen. Die virtuellen Netzkarten der betreffenden virtuellen IT-Systeme sind dann so auf physische Netzschnittstellen zu verteilen, dass diese nur untereinander Netzpakete austauschen können.

Wurden vor der Virtualisierung Netze aufgrund unterschiedlichen Schutzbedarfs physikalisch getrennt, müssen diese Netze auch in virtuellen Umgebungen voneinander isoliert werden. Es ist dann zu prüfen, ob die Mechanismen zur Netztrennung, sowie der Kapselung und Isolation der virtuellen IT-Systeme in der eingesetzten Virtualisierungslösung ausreichen, um virtuelle IT-Systeme mit hohem Schutzbedarf gemeinsam mit solchen niedrigen Schutzbedarfs auf einem Virtualisierungsserver betreiben zu können. Diese Prüfung kann z. B. darin bestehen, dass der Hersteller der betreffenden Virtualisierungslösung die genannten Mechanismen für diesen Einsatzzweck (Trennung von Maschinen unterschiedlichen Schutzbedarfs) als geeignet bezeichnet und dies durch eine entsprechende Zertifizierung nachweist.

Bei erhöhtem Schutzbedarf kann der Betrieb der jeweiligen Netze auf einem einzelnen Virtualisierungsserver jedoch problematisch sein, beispielsweise wenn Administratoren der virtuellen Infrastruktur keinen Zugriff auf virtuelle IT-Systeme in bestimmten Netzen außerhalb ihres Verantwortungsbereichs haben sollen. In diesem Fall sind die virtuellen Maschinen, die Zugang zu den betreffenden Netzen haben müssen, auf isolierten dedizierten Virtualisierungsservern bereitzustellen. Gegebenenfalls sollte das betreffende IT-System statt in einer virtuellen Umgebungen auf einem physischen IT-System betrieben werden.

Hochverfügbare virtuelle Infrastrukturen

Der kumulierte Schutzbedarf der einzelnen virtuellen IT-Systeme kann zu einem hohen oder sehr hohen Schutzbedarf dieses Virtualisierungsservers führen. In einem solchen Fall wird daher empfohlen, mehrere Virtualisierungsserver beispielsweise zu einem Cluster zu verbinden. Hierbei werden die virtuellen IT-Systeme auf den verbleibenden Virtualisierungsservern neu gestartet, wenn einer der Virtualisierungsserver im Cluster ausgefallen ist.

Fällt die Kommunikation zwischen mehreren Systemen eines Clusterverbundes gleichzeitig aus, muss jedes System entscheiden können, ob es selbst oder die anderen Systeme von dem Ausfall betroffen sind (Isolationsproblem), damit die durch einen Serverausfall betroffenen virtuellen IT-Systeme nicht mehrfach neu gestartet werden. Dieses Isolationsproblem wird in der Regel dadurch gelöst, dass ein Clustersystem prüft, ob bestimmter Ressourcen wie z. B. das Standardgateway erreichbar sind. Kann es diese Ressourcen nicht erreichen, betrachtet es sich als isoliert und entfernt sich selbst aus dem Cluster, je nach Konfiguration werden die auf ihm betriebenen virtuellen IT-Systeme dabei gestoppt.

Daher wird empfohlen, bei der Planung eines solchen Virtualisierungsclusters zu ermittelt, welche Ressourcen zur Prüfung der Isolation herangezogen werden. Diese Ressourcen sind dann in der Rechenzentrumsinfrastruktur mit einer ausreichenden Verfügbarkeit bereitzustellen. Die Netzverbindungen zwischen den Virtualisierungsservern, die Bestandteil des Clusters sind, sind ebenfalls mit einer ausreichenden Verfügbarkeit auszulegen.

Prüffragen:

  • Wurde für die Verwaltung der virtuellen Infrastruktur ein getrenntes Verwaltungsnetz realisiert?
  • Ist geprüft worden, ob für Virtualisierungsfunktionen wie die Live Migration ein eigenes Netz realisiert werden muss?
  • Wurde für die Anbindung der produktiven Gastsysteme ein getrenntes Netz realisiert?
  • Ist die Verfügbarkeit der für virtuelle IT -Systeme genutzten Netzschnittstellen ausreichend geplant?
  • Ist die Trennung der Netzsegmente durch das eingesetzte Virtualisierungsprodukt ausreichend sichergestellt, wenn virtuelle IT-Systeme unterschiedlichen Schutzbedarfs auf einem Virtualisierungsserver betrieben werden?
  • Sind die Netzverbindungen eines Clusters aus Virtualisierungsservern mit einer ausreichenden Verfügbarkeit geplant worden?

Lösungen mit VMware

Dokumentation vSphere Netzwerk http://pubs.vmware.com/vsphere-55/index.jsp#com.vmware.vsphere.networking.doc/GUID-B15C6A13-797E-4BCB-B9D9-5CBC5A60C3A6

Einführung in die Netzwerksicherheit in vSphere http://pubs.vmware.com/vsphere-55/index.jsp#com.vmware.vsphere.security.doc/GUID-464EE142-1012-461E-827E-7179215364D7.html

Die Netzwerksicherheit in der vSphere-Umgebung weist viele gemeinsame Merkmale mit der Absicherung einer physischen Netzwerkumgebung auf, aber auch einige Merkmale, die nur virtuelle Maschinen betreffen.

Firewalls

Fügen Sie Firewallschutz für das virtuelle Netzwerk durch Installation und Konfiguration von hostbasierten Firewalls auf einigen oder allen virtuellen Maschinen im Netzwerk hinzu.

Aus Effizienzgründen können Sie private Ethernet-Netzwerke virtueller Maschinen oder Virtuelle Netzwerke einrichten. Bei virtuellen Netzwerken installieren Sie eine hostbasierte Firewall auf einer virtuellen Maschine am Eingang des virtuellen Netzwerks. Diese Firewall dient als Schutzpufferzone zwischen dem physischen Netzwerkadapter und den übrigen virtuellen Maschinen im virtuellen Netzwerk.

Da hostbasierte Firewalls die Leistung beeinträchtigen können, sollten Sie Sicherheitsbedürfnisse und Leistungsanforderungen gegeneinander abwägen, bevor Sie hostbasierte Firewalls in anderen virtuellen Maschinen im Netzwerk installieren.

Weitere Informationen hierzu findet man unter Absichern des Netzwerks mit Firewalls.

Segmentierung

Behalten Sie verschiedene Zonen aus virtuellen Maschinen innerhalb eines Hosts auf verschiedenen Netzwerksegmenten bei. Wenn Sie jede virtuelle Maschinenzone in deren eigenem Netzwerksegment isolieren, minimieren Sie das Risiko eines Datenverlusts zwischen zwei virtuellen Maschinenzonen. Die Segmentierung verhindert mehrere Gefahren. Zu diesen Gefahren gehört auch die Manipulation des Adressauflösungsprotokolls (ARP), wobei der Angreifer die ARP-Tabelle so manipuliert, dass die MAC- und IP-Adressen neu zugeordnet werden, wodurch ein Zugriff auf den Netzwerkdatenverkehr vom und zum Host möglich ist. Angreifer verwenden diese ARP-Manipulation für Man-in-the-Middle-Angriffe (MITM), für Denial of Service-Angriffe (DoS), zur Übernahme des Zielsystems und zur anderweitigen Beeinträchtigung des virtuellen Netzwerks.

Eine sorgfältige Planung der Segmentierung senkt das Risiko von Paketübertragungen zwischen virtuellen Maschinenzonen und somit von Spionageangriffen, die voraussetzen, dass dem Opfer Netzwerkdatenverkehr zugestellt wird. So kann ein Angreifer auch keinen unsicheren Dienst in einer virtuellen Maschinenzone aktivieren, um auf andere virtuelle Maschinenzonen im Host zuzugreifen. Die Segmentierung können Sie mithilfe einer der beiden folgenden Methoden implementieren. Jede Methode hat ihre Vorteile.

Verwenden Sie getrennte physische Netzwerkadapter für Zonen virtueller Maschinen, damit die Zonen auch tatsächlich voneinander getrennt sind. Die Beibehaltung getrennter physischer Netzwerkadapter für die virtuellen Maschinenzonen stellt unter Umständen die sicherste Methode dar, und gleichzeitig ist sie am wenigsten anfällig für Konfigurationsfehler nach dem Anlegen des ersten Segments.

Richten Sie virtuelle LANs (VLANs) zur Absicherung des Netzwerks ein. Da VLANs fast alle Sicherheitsvorteile bieten, die auch die Implementierung physisch getrennter Netzwerke aufweist, ohne dass dafür der Mehraufwand an Hardware eines physischen Netzwerks notwendig ist, stellen sie eine rentable Lösung zur Verfügung, die die Kosten für die Bereitstellung und Wartung zusätzlicher Geräte, Kabel usw. einsparen kann. Weitere Informationen hierzu finden Sie unter Absichern virtueller Maschinen durch VLANs.

Verhindern des nicht autorisierten Zugriffs

Wenn das Netzwerk virtueller Maschinen an ein physisches Netzwerk angeschlossen ist, kann es ebenso Sicherheitslücken aufweisen wie ein Netzwerk, das aus physischen Maschinen besteht. Selbst wenn das virtuelle Maschinennetzwerk nicht an ein physisches Netzwerk angeschlossen ist, kann ein Angriff auf virtuelle Maschinen innerhalb des Netzwerks von anderen virtuellen Maschinen des Netzwerks aus erfolgen. Die Anforderungen an die Absicherung virtueller Maschinen und physischer Maschinen sind oft identisch.

Virtuelle Maschinen sind voneinander isoliert. Eine virtuelle Maschine kann weder Lese- noch Schreibvorgänge im Speicher der anderen virtuellen Maschine ausführen noch auf deren Daten zugreifen, ihre Anwendungen verwenden usw. Im Netzwerk kann jedoch jede virtuelle Maschine oder eine Gruppe virtueller Maschinen Ziel eines unerlaubten Zugriffs von anderen virtuellen Maschinen sein und daher weiteren Schutzes durch externe Maßnahmen bedürfen.

vSphere Standard Switch ( logical switch )

– Wortgruppen: mit Hilfe von Wortgruppen kann man vNics am virtuellen Standard Switch anschiessen. Wichtig: Jede Hortgruppen kann eine oder mehrere physische NICs verwenden. Um Sicherheit einzurichten, ist es notwendig, die entsprechenden MS über eine Wortgruppe an EINE physische NIC anzubinden. Auf diese Weise kann der externe Datenverkehr von dieser physischen NIC, und damit von allen VMs, die innerhalb der Wortgruppe sind, kontrolliert werden.

Sichern von Standard-Switch-Ports mit Sicherheitsrichtlinien

Wie bei physischen Netzwerkadaptern kann ein Netzwerkadapter einer virtuellen Maschine Datenblöcke versenden, die von einer anderen virtuellen Maschine zu stammen scheinen oder eine andere virtuelle Maschine imitieren, damit er Datenblöcke aus dem Netzwerk empfangen kann, die für die jeweilige virtuelle Maschine bestimmt sind. Außerdem kann ein Netzwerkadapter einer virtuellen Maschine, genauso wie ein physischer Netzwerkadapter, so konfiguriert werden, dass er Datenblöcke empfängt, die für andere virtuelle Maschinen bestimmt sind. Beide Szenarien stellen ein Sicherheitsrisiko dar.

Wenn Sie einen Standard-Switch für Ihr Netzwerk erstellen, fügen Sie Portgruppen zum vSphere Web Client hinzu, um für die an den Switch angeschlossenen virtuellen Maschinen und VMkernel-Adapter Richtlinien festzulegen.

ESXi konfiguriert als Teil des Hinzufügens einer VMkernel-Portgruppe oder Portgruppe für virtuelle Maschinen zu einem Standard-Switch eine Sicherheitsrichtlinie für die Ports in der Gruppe. Mit dieser Sicherheitsrichtlinie können Sie sicherstellen, dass der Host verhindert, dass die Gastbetriebssysteme der virtuellen Maschinen andere Computer im Netzwerk imitieren können. Diese Sicherheitsfunktion wurde so implementiert, dass das Gastbetriebssystem, welches für die Imitation verantwortlich ist, nicht erkennt, dass diese verhindert wurde.

Die Sicherheitsrichtlinie bestimmt, wie streng der Schutz gegen Imitierungs- oder Abfangangriffe auf virtuelle Maschinen sein soll. Damit Sie die Einstellungen des Sicherheitsprofils richtig anwenden können, müssen Sie verstehen, wie Netzwerkadapter virtueller Maschinen Datenübertragungen steuern und wie Angriffe auf dieser Ebene vorgenommen werden. Lesen Sie den Abschnitt über Sicherheitsrichtlinien in der Veröffentlichung vSphere-Netzwerk.

vSphere Distributed Switch

Ein Distributed Switch hat eine oder mehrere verteilte Portgruppen. Sie verwenden verteilte Portgruppen, um Netzwerkkonnektivität an virtuelle Maschinen bereitzustellen und VMkernel-Datenverkehr zu ermöglichen. Sie kennzeichnen jede verteilte Portgruppe durch eine Netzwerkbezeichnung, die im aktuellen Datencenter eindeutig sein muss. Eine Kopie jeder verteilten Portgruppe, die Sie erstellen, ist auch auf den Host-Proxy-Switches aller Hosts verfügbar, die dem Distributed Switch zugeordnet sind. Die Richtlinien, die Sie für eine verteilte Portgruppe konfigurieren, sind für alle Hosts im Distributed Switch einheitlich.

Eine VLAN-ID, die den Datenverkehr der Portgruppe auf ein logisches Ethernet-Segment im physischen Netzwerk einschränkt, kann optional zugewiesen werden.

Sichern von vSphere Distributed Switches

Die Administratoren haben mehrere Optionen zum Sichern von vSphere Distributed Switches in ihrer vSphere-Umgebung.

Vorgehensweise

1

Überprüfen Sie, dass die Funktion zum automatischen Erweitern für verteilte Portgruppen mit statischer Bindung deaktiviert ist.

Die automatische Erweiterung ist in vSphere 5.1 und höher standardmäßig aktiviert.

Um die automatische Erweiterung zu deaktivieren, konfigurieren Sie die Eigenschaft autoExpand unter der verteilten Portgruppe mit dem vSphere Web Services SDK oder über eine Befehlszeilenschnittstelle. Weitere Informationen finden Sie in der vSphere API/SDK-Dokumentation.

2

Stellen Sie sicher, dass alle privaten VLAN IDs aller vSphere Distributed Switches vollständig dokumentiert sind.

3

Stellen Sie sicher, dass in einer virtuellen Portgruppe, die einem vSphere Distributed Switch zugeordnet ist, keine nicht verwendeten Ports vorhanden sind.

4

Schützen Sie virtuellen Datenverkehr vor Imitierungs- und Abfangangriffen auf Layer 2, indem Sie eine Sicherheitsrichtlinie für Portgruppen oder Ports konfigurieren.

Die Sicherheitsrichtlinie für verteilte Portgruppen und Ports umfasst die folgenden Optionen:

Promiscuous-Modus (siehe Betrieb im Promiscuous-Modus)

MAC-Adressänderungen (siehe MAC-Adressänderungen)

Gefälschte Übertragungen (siehe Gefälschte Übertragungen)

Sicherheit

Richtlinien für das Filtern und Markieren des Datenverkehrs

In vSphere Distributed Switch 5.5 und neueren Versionen können Sie das virtuelle Netzwerk durch Verwendung der Richtlinie zum Filtern und Markieren des Datenverkehrs vor unerwünschtem Datenverkehr und Angriffen auf die Sicherheit schützen oder einer bestimmten Art von Datenverkehr ein QoS-Tag zuordnen.

Die Richtlinie für das Filtern und Markieren des Datenverkehrs stellt einen sortierten Satz von Regeln für den Netzwerkdatenverkehr dar, die für Sicherheit und die Kennzeichnung mit QoS-Tags des Datenflusses über die Ports eines Distributed Switch gelten. Im Allgemeinen besteht eine Regel aus einem Bezeichner für Datenverkehr und einer Aktion zum Einschränken oder Priorisieren des entsprechenden Datenverkehrs.

Der vSphere Distributed Switch wendet Regeln an verschiedenen Stellen im Datenstrom auf den Datenverkehr an. Durch den Distributed Switch werden Filterregeln für den Datenverkehr auf den Datenpfad zwischen dem VM-Netzwerkadapter und dem verteilten Port oder zwischen dem Uplink-Port und physischen Netzwerkadapter für Uplink-Regeln angewendet.

Portblockierungsrichtlinien

Mit Portblockierungsrichtlinien können Sie ausgewählte Ports daran hindern, Daten zu senden oder zu empfangen.

Sicherheitsrichtlinie

Die Netzwerksicherheitsrichtlinie bietet Schutz des Datenverkehrs vor der Imitation von MAC-Adressen und unerwünschten Portprüfungen.

Die Sicherheitsrichtlinie eines Standard-Switches oder eines Distributed Switch ist auf Schicht 2 (Sicherungsschicht) des Netzwerkprotokoll-Stacks implementiert. Die drei Elemente der Sicherheitsrichtlinie sind der Promiscuous-Modus, Änderungen der MAC-Adresse und gefälschte Übertragungen. Weitere Informationen zu möglichen Netzwerkbedrohungen finden Sie in der Dokumentation vSphere-Sicherheit.

Internet Protocol Security (IPsec)

Internet Protocol Security (IPsec) sichert die von einem Host ausgehende und bei diesem eingehende IP-Kommunikation. ESXi-Hosts unterstützen IPsec mit IPv6.

Wenn Sie IPsec auf einem Host einrichten, aktivieren Sie die Authentifizierung und Verschlüsselung ein- und ausgehender Pakete. Wann und wie der IP-Datenverkehr verschlüsselt wird, hängt davon ab, wie Sie die Sicherheitsverbindungen und -richtlinien des Systems einrichten.

Eine Sicherheitsverbindung bestimmt, wie das System den Datenverkehr verschlüsselt. Beim Erstellen einer Sicherheitsverbindung geben Sie Quelle und Ziel, Verschlüsselungsparameter und einen Namen für die Sicherheitsverbindung an.

Eine Sicherheitsrichtlinie legt fest, wann das System Datenverkehr verschlüsseln soll. Die Sicherheitsrichtlinie enthält Informationen zu Quelle und Ziel, Protokoll und Richtung des zu verschlüsselnden Datenverkehrs, dem Modus (Transport oder Tunnel) und der zu verwendenden Sicherheitsverbindung

Dokumentation zu vSphere Sicherheit http://pubs.vmware.com/vsphere-55/index.jsp#com.vmware.vsphere.security.doc/GUID-52188148-C579-4F6A-8335-CFBCE0DD2167.html

Allgemeiner Schutz für virtuelle Maschinen

Eine virtuelle Maschine ist nahezu mit einem physischen Server äquivalent. Wenden Sie in virtuellen Maschinen die gleichen Sicherheitsmaßnahmen wie für physische Systeme an.

Halten Sie alle Sicherheitsmaßnahmen immer auf dem neuesten Stand, und wenden Sie immer die entsprechenden Patches an. Es ist besonders wichtig, auch die Updates für inaktive virtuelle Maschinen zu beachten, die ausgeschaltet sind, weil diese leicht vergessen werden können. Stellen Sie beispielsweise sicher, dass Schutzmechanismen wie Antivirus, Anti-Spyware, Erkennung von Eindringversuchen usw. für jede virtuelle Maschine der virtuellen Infrastruktur aktiviert sind. Sie sollten außerdem sicherstellen, das ausreichend Speicherplatz für die Protokolle der virtuellen Maschinen vorhanden ist.

Sichern der vSphere-Netzwerke

Das Sichern der vSphere-Netzwerke ist ein wesentlicher Bestandteil für den Schutz Ihrer Umgebung. Die verschiedenen vSphere-Komponenten werden auf unterschiedliche Weise gesichert. Ausführliche Informationen zu Netzwerken in der vSphere-Umgebung findet man in der Dokumentation vSphere-Netzwerk.

Unterthemen

Einführung in die Netzwerksicherheit in vSphere

Absichern des Netzwerks mit Firewalls

Sichern des physischen Switches

Sichern von Standard-Switch-Ports mit Sicherheitsrichtlinien

Sichern von Standard-Switch-MAC-Adressen

Sichern von vSphere Distributed Switches

Absichern virtueller Maschinen durch VLANs

Erstellen einer Netzwerk-DMZ auf einem einzelnen ESXi -Host

Erstellen mehrerer Netzwerke auf einem einzelnen ESXi -Host

Internet Protocol Security (IPsec)

Sicherstellen einer korrekten SNMP-Konfiguration

Bedarfsgerechtes Verwenden von virtuellen Switches in der vSphere Network Appliance

NSX

http://www.vmware.com/de/products/nsx/features.html

mit NSX besteht die Möglichkeit Netzwerksegmentierung fein granular zu implementieren ( micro segmentation ).

NSX bietet L2-L4 stateful firewalling um den höheren Sicherheitsanforderungen zu entsprechen. So ist es beispielsweise auch möglich sogenannte Security Groups zu bilden und MS dieser SG hinzuzufügen. Anschliessend kann man für diese SG dann traffic policies definieren. Der Datenverkehr wird via einer virtuellen, stateful in-kernel Firewall überwacht. Neben dieser Funktion bietet NSX aber auch noch viele andere Funktionalitäten , wie load balancing, VPN, an, die für Netzwerk Vorhaben vorteilhaft sind.

Hierzu findet man unter dem folgenden Link eine Dokumentation: http://www.vmware.com/files/de/pdf/products/nsx/vmw-nsx-network-virtualization-design-guide.pdf.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s